Contaoに重大なセキュリティホール
2014年2月10日 16:05 Leo Feyer
残念なことに、潜在的なPHPオブジェクトのインジェクションによる脆弱性に対する脆弱性の実証コードが存在します。この脆弱性はContao 3.2.5と2.11.14の最新の更新で予防的に修正していました。
セキュリティホールは任意のPHPのコードをサーバーで実行するのに使用できるため、重大な脆弱性に位置づけられるものです。
それでもインストールしているContaoを最新版に更新できない場合は、コミットd67c46c1による修正を必ず適用しなくてはなりません。機能拡張の開発者の方はユーザーの入力をdeserialize()
に渡していないか、機能拡張を確認しなければなりません。
公式サイトの記事: Major security hole found in Contaoの翻訳です。